Wi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utenti

 
 
Tratto da www.garanteprivacy.it
NEWSLETTER N. 470 del 1 dicembre 2020
 
 
 

Misure di sicurezza per evitare accessi alle reti interne della Pa, divieto di tracciamenti non necessari degli utenti, conservazione a tempo dei dati, maggiore trasparenza. Sono alcune delle importanti garanzie richieste dal Garante per la protezione dei dati personali nel parere reso all’Agid sullo schema di Linee guida sul Wi-Fi pubblico. L’Agenzia per l’Italia Digitale dovrà integrare lo schema per renderlo conforme alle disposizioni del Regolamento Ue e del Codice privacy.

Le Linee guida offrono indicazioni alle Pa che forniscono ai cittadini la connessione wireless ad Internet presso gli uffici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e turistico, anche mettendo a disposizione dei cittadini la porzione di banda non utilizzata dagli uffici.

L’offerta di tale servizio comporta tuttavia il trattamento, da parte delle amministrazioni, dei dati degli utenti che ne usufruiscono, caratterizzato da diversi profili di rischio. Per questo motivo l’Autorità ha ritenuto che le Linee guida devono essere integrate al fine di richiamare le pubbliche amministrazioni a garantire una corretta applicazione del Regolamento mediante l’adozione di misure tecniche ed organizzative adeguate al rischio e configurando il servizio in modo da assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita.

Lo schema sottoposto al Garante raccomanda, in particolare, alle Pa di identificare gli utenti, per poter rintracciare eventuali comportamenti malevoli. Su questo punto, l’Autorità ha precisato che le amministrazioni non sono autorizzate a conservare dati di traffico telematico e ha chiesto all’Agid di integrare le Linee guida indicando alle amministrazioni modalità rispettose del Regolamento per individuare, a posteriori, i responsabili di condotte illecite (ad es. utilizzando i soli dati relativi alla connessione e disconnessione degli utenti).

L’Autorità ha chiesto inoltre di fornire indicazioni alle amministrazioni sulle tipologie di dati da raccogliere e sui tempi di conservazione, nel rispetto del principio di minimizzazione. Dovrà essere vietato qualunque trattamento di dati relativi ai dispositivi degli utenti a fini di tracciamento dell’ubicazione o degli spostamenti (mediante tecniche di Wi-Fi location tracking), consentendo solo l’uso di quelli indispensabili per l’accesso al servizio o per individuare, a posteriori, eventuali illeciti.

È possibile, inoltre, che il servizio di Wi-Fi free pubblico venga offerto anche ai turisti, attraverso le strutture alberghiere. Al riguardo, il Garante ha richiesto che lo schema venga integrato precisando che il turista deve poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera. L’eventuale interoperabilità non deve automaticamente prevedere la comunicazione alle amministrazioni dei dati dei clienti degli alberghi.

Infine, le Linee guida dovranno ribadire alle Pa la necessità di adottare adeguate misure di sicurezza, anche per la gestione delle violazioni di dati personali (artt. 32, 33 e 34 del Regolamento), nonché suggerire specifiche cautele nel caso in cui il servizio Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che lo fornisce.

2 Dicembre 2020

I suggerimenti del Garante per tutelare la tua privacy quando usi delle app

 
 
Tratto da www.garanteprivacy.it
 
 
 

Le app sono strumenti presenti ormai su numerosi dispositivi e strumenti digitali che si utilizzano quotidianamente (smartphone, tablet, pc, dispositivi indossabili, smart car, smart TV, dispositivi domotici, console per videogiochi) e offrono una vasta gamma di servizi, dalla messaggistica agli acquisti online, dalle videochiamate all’home banking, dalla formazione alla misurazione di parametri sportivi e sanitari, dalla prenotazione di viaggi e alberghi ai giochi, dalla gestione da remoto di dispositivi domotici (aspirapolvere, antifurto, illuminazione, ecc.) ai giochi, dai servizi della pubblica amministrazione alla gestione delle diete alimentari. Sono strumenti utili, divertenti, a volte indispensabili.

Ma non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy.

Per proteggere i nostri dati personali e la nostra vita privata occorre quindi conoscere alcune regole fondamentali e mettere in campo adeguate cautele. Vediamo quali.

Prima di installare una app, cerca di capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando l’informativa sul trattamento dei dati personali.

In particolare, verifica:

  • chi tratterà i tuoi dati personali e con quali finalità;
  • per quanto tempo verranno conservati i dati personali che ti riguardano;
  • se i tuoi dati potranno essere condivisi con terze parti per finalità commerciali o di altro tipo.

Se per il download dell’app o per la sua installazione è prevista una registrazione, limitati a fornire i dati personali strettamente necessari all’attivazione del servizio.

Verifica se alcune informazioni raccolte dall’app possono essere diffuse automaticamente online (ad esempio, se è possibile che l ’app produca post automatici sui social media) e – nel caso le impostazioni lo prevedano – valuta se disattivare questa funzionalità.

Potresti infatti rivelare involontariamente a tutti informazioni personali.

In generale, è bene evitare di memorizzare nella app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento. I malintenzionati sono sempre in agguato.

Una app può richiedere accesso alle immagini e ai file che conservi in memoria, ai contatti in rubrica, ai dati sulla geolocalizzazione (cioè dati che contengono informazioni sulla tua posizione in un dato momento e suoi tuoi spostamenti), al microfono e alla fotocamera dei tuoi dispositivi.

Valuta sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità. Se una app richiede obbligatoriamente accesso a dati e funzionalità non strettamente necessari rispetto ai servizi offerti, evita di installarla.

IMPORTANTE: Occorre fare particolare attenzione alle app che, grazie all’impiego dell’intelligenza artificiale, consentono di modificare foto e video (ad esempio, per invecchiare i volti), inserire la propria faccia sui corpi altrui (ad esempio, di personaggi famosi) oppure trasformare il genere sessuale (da uomo a donna e viceversa). Le immagini e le informazioni raccolte in questo modo potrebbero essere utilizzate anche da malintenzionati per fini dannosi per la dignità e la reputazione delle persone, come avviene nel fenomeno del deep fake (creazione di foto e video falsi a partire da immagini vere).

In ogni caso:

  • se la app chiede accesso alla fotocamera o all’archivio di immagini del tuo smartphone, pc o tablet, verifica che siano spiegati in modo chiaro dal fornitore della app tutti i possibili utilizzi delle tue immagini;
  • ricorda che dai volti si può risalire a informazioni di natura sensibile come i dati biometrici, che potrebbero anche essere utilizzati da malintenzionati per finalità illecite (basti pensare ai dati biometrici del volto, già oggi utilizzati, ad esempio, come password per l’accesso agli smartphone) o ceduti a terzi per finalità ignote.

Alcuni spunti di riflessione

Molte app, tra cui quelle social, possono individuare e condividere con terzi la tua posizione e i tuoi spostamenti nel tempo, ad esempio utilizzando alcune funzioni del tuo smartphone. Se preferisci mantenere riservate queste informazioni, puoi disattivare la raccolta dei dati di posizione da parte delle singole app, modificando le impostazioni del tuo dispositivo relative ai servizi di geolocalizzazione.

Se utilizzi una app che prevede funzioni per la condivisione di foto e video sui social o tramite messaggistica, accertati sempre che le persone riprese siano d’accordo a diffondere online la propria immagine ed eventuali informazioni sulla loro vita privata.

Se usi una app per il dating (appuntamenti online), ricorda di informarti su come verranno trattate e conservate le informazioni che ti riguardano, e a chi verranno eventualmente resi noti aspetti della tua vita privata che potresti voler mantenere riservati.

Le app che misurano le tue prestazioni sportive o monitorano e registrano il tuo stato fisico (esempio: battito cardiaco, pressione, ecc.) sono in grado di raccogliere dati sensibili che potrebbero essere trasmessi a terzi per finalità non sempre conosciute. Verifica quindi sempre quali informazioni possono essere rilevate e trattate dalla app, stabilisci tu con chi condividerle (ad esempio, scegliendo nelle impostazioni di renderle visibili a tutti, solo agli “amici” o a nessuno) e decidi eventualmente di disattivare la rilevazione e il trattamento dei dati non indispensabili per il servizio (ad esempio, si può scegliere di monitorare la durata e la distanza percorsa correndo o andando in bicicletta anche senza rilevare il battito cardiaco).

Ricorda che insieme alle app potresti scaricare inavvertitamente virus e malware pericolosi per la tua privacy

Per evitare rischi:

  • installa sul dispositivo che ospita le app anche un software antivirus in grado di proteggere i dati personali da eventuali violazioni;
  • imposta password di accesso sicure e aggiornale periodicamente;
  • aggiorna periodicamente la app: le nuove versioni contengono di solito anche miglioramenti sul fronte della sicurezza informatica;
  • non disattivare mai i controlli di sicurezza previsti dal tuo dispositivo, se non sei assolutamente consapevole di ciò che stai facendo;
  • fai sempre attenzione alla provenienza delle app. In particolare:
  • evita di scaricare app tramite siti web che non ti sembrano affidabili o cliccando link che ti vengono inviati tramite SMS o messaggistica. In generale, è meglio scaricare le app dai market ufficiali, che garantiscono la presenza di controlli da parte dei gestori del market sull’affidabilità dei prodotti e permettono di consultare le eventuali recensioni di altri utenti (sull’uso di una determinata app, sugli sviluppatori o sul market stesso) per verificare se sono, ad esempio, segnalati problemi riguardanti la sicurezza dei dati. Se il market prevede la creazione di un account, ricorda di informarti sempre su come tratterà i dati richiesti per la sua attivazione;
  • leggi con attenzione le descrizioni delle app che intendi installare (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare).

Pensa ai rischi che possono correre i minori

Meglio evitare che i minori possano scaricare e utilizzare app da soli. I più giovani, infatti, sono meno consapevoli dei pericoli e più esposti al rischio di una raccolta e diffusione incontrollata di dati personali proprio dei familiari.

Inoltre, potrebbero diventare oggetto di attenzione di malintenzionati che cercano di contattarli, oppure fare involontariamente acquisti online o diffondere inconsapevolmente dati sensibili o informazioni sul conto bancario o la carta di credito dei genitori.

Se i minori utilizzano dispositivi quali PC, tablet, smartphone, smart TV, console per videogiochi, servizi di streaming online, usati anche da altri familiari, si può decidere di creare un profilo con impostazioni d’uso limitate, in modo che alcune delle app installate o alcuni contenuti non siano accessibili ai minori.

Nei casi in cui ci siano dubbi sull’effettivo rispetto delle norme o sul corretto uso dei propri dati personali, ci si può rivolgere al Garante per la protezione dei dati personali.

Per informazioni e tutela: www.garanteprivacy.it

11 Novembre 2020

Violazioni di dati personali (data breach) – Regolamento (UE) 2016/679

 
 
Tratto da www.garanteprivacy.it
 
 

COSA È UNA VIOLAZIONE DEI DATI PERSONALI (DATA BREACH)?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali. 

Alcuni possibili esempi: 

– l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;

– il furto o la perdita di dispositivi informatici contenenti dati personali;

– la deliberata alterazione di dati personali;

– l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; 

– la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;

– la divulgazione non autorizzata dei dati personali.

COSA FARE IN CASO DI VIOLAZIONE DEI DATI PERSONALI?

Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi. 

Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo. 

Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto. 

Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, ad esempio predisponendo un apposito registro. Tale documentazione consente all’Autorità di effettuare eventuali verifiche sul rispetto della normativa.

CHE TIPO DI VIOLAZIONI  DI DATI PERSONALI VANNO NOTIFICATE?

Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali  o immateriali. 

Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione  e qualsiasi altro significativo svantaggio economico o sociale.

CHE INFORMAZIONI DEVE CONTENERE LA NOTIFICA AL GARANTE?**

La notifica deve contenere le informazioni previste all’art. 33, par. 3 del Regolamento (UE) 2016/679 e indicate nell’allegato al Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali (doc. web n. 9126951).

Qualora si utilizzi per la notifica il modello allegato al provvedimento, è necessario scaricarlo sul proprio dispositivo e successivamente procedere alla sua compilazione.

COME INVIARE LA NOTIFICA AL GARANTE?

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it *** oppure tramite posta elettronica ordinaria all’indirizzo protocollo@gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest’ultimo caso la notifica deve essere presentata unitamente alla copia del documento d’identità del firmatario.

L’oggetto del messaggio deve contenere obbligatoriamente la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI” e opzionalmente la denominazione del titolare del trattamento.

LE AZIONI DEL GARANTE

Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale

* Consultare sempre le procedure aggiornate che il Garante Privacy pubblica sul suo sito.

27 Ottobre 2020

Regolamento generale sulla protezione dei dati (GDPR)

Il regolamento generale sulla protezione dei dati (GDPR) (regolamento UE 2016/679) è un Logo-Unione-Europea-2regolamento con il quale la Commissione Europea ha voluto omogeneizzare e rafforzare la protezione dei dati personali all’interno dell’Unione Europea. Il regolamento, trascorso il periodo di transizione andrà a sostituire la direttiva sulla protezione dei dati (direttiva UE 95/46 del 1995).

Il periodo di transizione durerà due anni, ed entrerà pienamente in vigore il 25 maggio 2018.
A differenza di una direttiva, questo provvedimento è un regolamento che viene applicato senza richiedere che i governi nazionali lo recepiscano con delle leggi nazionali.

Secondo il nuovo regolamento sono da considerarsi dati personali qualsiasi informazione riguardante una persona fisica, sia che si riferisca alla sua vita privata che la sua vita professionale o pubblica.

Può essere qualsiasi tipo di informazione: un nome, una foto, un indirizzo e-mail, coordinate bancarie, messaggi su siti web o social network, informazioni mediche, o l’indirizzo IP di un computer.

Il regolamento si applica oltre alle aziende ed alle organizzazioni con sede all’interno di un paese dell’Unione Europea, anche a quelle società extra comunitarie che trattano i dati di cittadini europei.

Dal 2018 tutte le aziende che trattano i dati di cittadini europei dovranno attenersi scrupolosamente al GDPR.

In caso di incidente informatico e violazione dei dati, sono previste multe, per le aziende, fino al 4% dei loro ricavi annui o 20 milioni di Euro (si applica il valore maggiore), oltre all’obbligo di informare l’autorità di vigilanza del proprio paese.

Le attività da svolgere per essere compliance sono numerose ed il tempo a disposizione (2 anni circa) non è molto.

argonavislabArgonavis è a vostra disposizione per fornirvi ulteriori informazioni ed illustrarvi come proteggere i vostri sistemi impiegando le più diffuse best practies ed utilizzando le tecnologie più efficaci.

Richiedi Informazioni

6 Luglio 2016